西門子宣布SIMATIC S7-1500工業(yè)自動化控制器隱藏20余個漏洞

西門子于本周二通知客戶，其SIMATIC S7-1500工業(yè)自動化控制器的多功能平臺中部分Linux與GNU組件受到20余個漏洞影響。

據(jù)悉，西門子一年前宣布，將通過新多功能平臺對SIMATIC S7-1500控制器產(chǎn)品組合進行擴展，允許工廠結(jié)合單個設(shè)備的控制與PC能力在控制器中運行多個應(yīng)用程序。用戶可以實時運行C++應(yīng)用程序，但該平臺還允許特定客戶輕松實現(xiàn)高級語言應(yīng)用程序。西門子表示，為確保設(shè)備安全，將定期發(fā)布更新。

西門子MFP

據(jù)西門子稱，CPU 1518(F)-4 PN/DP多功能平臺使用的部分Linux與GNU組件包含21個安全漏洞，這些漏洞已在最近幾個月得到修復(fù)。準(zhǔn)確地說，這些漏洞會影響Linux內(nèi)核、libxml2 XML解析庫、OpenSSH以及用于創(chuàng)建、修改與分析二進制文件的GNU Binutils工具。

據(jù)西門子稱，該公司公告中提及的17 GNU Binutils漏洞為構(gòu)建期間相關(guān)漏洞，是最近披露的20余個Binutils漏洞之一。

據(jù)個人顧問對這些漏洞的描述，遠程攻擊者可利用其中大部分漏洞，并借專門制作的文件引發(fā)拒絕服務(wù)條件，但部分漏洞會產(chǎn)生其他影響——這些其他的潛在影響尚不明確。

Linux內(nèi)核漏洞CVE-2018-17972將西門子設(shè)備暴露于攻擊之下，且允許本地攻擊者引發(fā)拒絕服務(wù)條件；而利用CVE-2018-17182，攻擊者不僅可引發(fā)拒絕服務(wù)條件，還可執(zhí)行任意代碼。

libxml2漏洞也允許拒絕服務(wù)攻擊，而OpenSSH漏洞與用戶枚舉相關(guān)。西門子表示，內(nèi)核，libxml2和OpenSSH漏洞在運行時都是相關(guān)的。

西門子表示，為修復(fù)這些漏洞，目前正進行固件更新。同時，該公司建議客戶應(yīng)用縱深防御措施，并避免利用不受信任的來源構(gòu)建與運行受影響平臺上的應(yīng)用程序。